יש להתקין SSO ב-Apigee לזמינות גבוהה

אפשר להתקין כמה מכונות של Apigee SSO לזמינות גבוהה בשני תרחישים:

  • בסביבת מרכז נתונים יחיד, מתקינים שתי מכונות של Apigee SSO כדי ליצור סביבה עם זמינות גבוהה. כלומר, המערכת ממשיכה לפעול אם אחד מהמודולים של Apigee SSO מושבת.
  • בסביבה עם שני מרכזי נתונים, מומלץ להתקין את Apigee SSO בשני מרכזי הנתונים כדי שהמערכת תמשיך לפעול אם אחד מהמודולים של Apigee SSO יוצא משימוש.

התקנת שני מודולים של Apigee SSO באותו מכשיר מרכז נתונים

כדי לתמוך בזמינות גבוהה, אפשר לפרוס שתי מכונות של Apigee SSO בצמתים שונים במרכז נתונים אחד. במקרה כזה:

  • שתי המכונות של Apigee SSO צריכות להיות מחוברות לאותו שרת Postgres. ב-Apigee מומלץ להשתמש בשרת Postgres ייעודי ל-Apigee SSO, ולא באותו שרת Postgres שהותקן עם Edge.
  • שני המופעים של Apigee SSO חייבים להשתמש באותו זוג מפתחות JWT כפי שצוין על ידי SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH מאפיינים בקובץ התצורה. מידע נוסף על הגדרת המאפיינים האלה זמין במאמר התקנה והגדרה של Apigee SSO.
  • צריך מאזן עומסים מול שתי המכונות של Apigee SSO:
    • מאזן העומסים חייב לתמוך ביציבות של קובצי cookie שנוצרו על ידי האפליקציה, ושם קובץ ה-cookie של הסשן חייב להיות JSESSIONID.
    • להגדיר את מאזן העומסים כדי לבצע בדיקת תקינות של TCP או HTTP ב-Apigee SSO. ב-TCP, משתמשים בכתובת ה-URL של Apigee SSO: 
      http_or_https://edge_sso_IP_DNS:9099

      ציון היציאה כפי שהוגדרה על ידי Apigee SSO. ברירת המחדל היא יציאה 9099.

      ב-HTTP, כוללים את /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • חלק מההגדרות של מאזן העומסים תלויות בכך שהפעלתם את HTTPS ב-Apigee SSO. לצפייה לקבלת מידע נוסף.

גישת HTTP ל-Apigee SSO

אם אתם משתמשים בגישת HTTP ל-Apigee SSO, אז צריך להגדיר את מאזן העומסים כך:

  • להשתמש במצב HTTP כדי להתחבר ל-SSO של Apigee.

  • להאזין באותו יציאה כמו Apigee SSO.

    כברירת מחדל, Apigee SSO מקשיב לבקשות HTTP ביציאה 9099. לחלופין, אפשר להשתמש ב-SSO_TOMCAT_PORT כדי להגדיר את היציאה של Apigee SSO. אם השתמשת ב-SSO_TOMCAT_PORT כדי לשנות את יציאת ה-SSO של Apigee מברירת המחדל, צריך לוודא שמאזן העומסים מאזין יציאה.

לדוגמה, בכל מכונה של Apigee SSO מגדירים את היציאה ל-9033 על ידי הוספת הקטע הבא לקובץ התצורה:

SSO_TOMCAT_PORT=9033

לאחר מכן מגדירים את מאזן העומסים להאזנה ביציאה 9033 והעברת בקשות ל-Edge מכונת SSO ביציאה 9033. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:

http://LB_DNS_NAME:9033

גישה ל-HTTPS ל-Apigee SSO

אפשר להגדיר את המכונות של Apigee SSO כך שישתמשו ב-HTTPS. במקרה כזה, פועלים לפי השלבים הבאים: להגדיר Apigee SSO לגישת HTTPS. כחלק מתהליך הפעלת HTTPS, מגדירים את SSO_TOMCAT_PROFILE בקובץ התצורה של Apigee SSO, כפי שמתואר בהמשך:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

אפשר גם להגדיר את היציאה שבה Apigee SSO משתמש לגישה ל-HTTPS:

SSO_TOMCAT_PORT=9443

לאחר מכן, מגדירים את מאזן העומסים כך:

  • כדי להתחבר ל-Apigee SSO משתמשים במצב TCP, ולא במצב HTTP.
  • מקשיב באותה יציאה כמו Apigee SSO כפי שמוגדרת ב-SSO_TOMCAT_PORT.

לאחר מכן מגדירים את מאזן העומסים להעברת בקשות למכונה של Apigee SSO ביציאה 9433. כתובת ה-URL הציבורית של Apigee SSO בתרחיש הזה היא:

https://LB_DNS_NAME:9443

התקנת SSO של Apigee במרכזי נתונים מרובים

בסביבה עם כמה מרכזי נתונים, צריך להתקין מכונה של Apigee SSO בכל מרכז נתונים. לאחר מכן, מכונה אחת של Apigee SSO מטפלת בכל התנועה. אם המכונה של Apigee SSO תקרוס, תוכלו לעבור למכונה השנייה של Apigee SSO.

לפני שמתקינים Apigee SSO בשני מרכזי נתונים, אתם צריכים:

  • כתובת ה-IP או שם הדומיין של שרת Master Postgres.

    בסביבה של כמה מרכזי נתונים, בדרך כלל מתקינים שרת Postgres אחד בכל נתונים ולהגדיר אותם במצב רפליקציה מסוג 'מאסטר-בהמתנה'. לצורך דוגמה זו, center 1 מכיל את השרת הראשי של Postgres ואת מרכז הנתונים 2 מכיל את הערך Standby. מידע נוסף זמין במאמר הגדרת רפליקציה של Master-Standby ל-Postgres.

  • רשומת DNS אחת שמצביעה למכונה אחת של Apigee SSO. לדוגמה, יוצרים רשומת DNS בפורמט הבא שמפנה למכונה של Apigee SSO במרכז הנתונים 1: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • שני המופעים של Apigee SSO חייבים להשתמש באותו זוג מפתחות JWT כפי שצוין על ידי SSO_JWT_SIGNING_KEY_FILEPATH ו-SSO_JWT_VERIFICATION_KEY_FILEPATH מאפיינים בקובץ התצורה. למידע נוסף, ראו התקנה והגדרה של SSO של Apigee כדי לקבל מידע נוסף על הגדרת הנכסים האלה.

כשמתקינים את Apigee SSO בכל מרכז נתונים, מגדירים את שניהם להשתמש ב-Postgres Master במרכז הנתונים 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

צריך גם להגדיר בשני מרכזי הנתונים שימוש ברשומת ה-DNS ככתובת ה-URL שגלויה לכולם:

# Externally accessible URL of Apigee SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

אם שירות Apigee SSO במרכז נתונים 1 מושבת, אפשר לעבור למכונה של Apigee SSO בנתונים מרכז 2:

  1. ממירים את שרת Postgres Standby במרכז הנתונים 2 ל'מאסטר', כפי שמתואר במאמר טיפול ביתירות כשל של מסד נתוני PostgreSQL.
  2. צריך לעדכן את רשומת ה-DNS כך שתפנה את my-sso.domain.com למכונה של Apigee SSO ב- מרכז נתונים 2: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. עדכון קובץ התצורה ל-SSO של Apigee במרכז נתונים 2 כדי שיצביע על המאסטר החדש של Postgres שרת במרכז הנתונים 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. כדי לעדכן את ההגדרות, צריך להפעיל מחדש את Apigee SSO במרכז נתונים 2: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart